Вопросы и ответы
Топ за год Облако тегов  

Какой анализатор трафика использовать?

компьютеры безопасность трафик анализ анализатор

Defacto, 276 просмотров
7
Ситуация: заказали аудит сети.
В итоге обнаружилась WiFi точка, которая за два часа рассказала и свой ключ и все в ней происходящее.

Имеем: дамп трафика размером больше сотни мегабайт.

Нужно: вытащить оттуда все посещенные http ресурсы, ICQ UIN, мейл и т.д.


Примечание:
Дамп делали Kismet'ом.
Ключ добывали aircrack'ом
Декодировали и получили дамп в чистом виде.
Wireshark показывает все пакеты, в том числе HTTP обращения к серверам mail.ru, login.icq.com, vkontakte.ru

Теперь нужно узнать, кто всем этим добром пользуется, значит лучше всего вытащить хотя бы ID вконтакта.

Вормат я так понял формализованный - cap чтоли, Enterceptor вроде бы что то разбирает но рушится в процессе разбора. Судя по всему слишком большой размер файла дампа.

Примечание:
Wireshark делает это отлично, но не совсем то что нужно:
он показывает, к примеру, http пакет, но мне не нужна доскональная информация по пакету, мне нужна ссылка...
он показывает, что был коннект к login.icq.com но не кажет УИН (либо я его не нашел)

Нужен анализатор, который предоставит всю эту информацию в удобоваримом виде...

Примечание:
KrasivayaSvo

Он покажет сырые пакеты, нужен анализатор который приведет это все в удобоваримый вид

Примечание:
А как спарсить HTML?
Не хочется руками разбирать всю строку...
Ответы:
KrasivayaSvo
Обычно программа, которой делается дамп траффика позволяет посмотреть кто, что, куда и прочее.
Вы хотя бы уточните, чем вы этот дамп получали или формат файла.
Алекссс
Так пусть те у кого заказывали аудит и расскажут вам!
KrasivayaSvo
Ну дык тот же WireShark умеет фильтровать пакеты и вытаскивать из них все что вам нужно.
KrasivayaSvo
Ну дык выбираете нужные фильтры, там есть кнопочка "Filter" слева сверху и фильтруете по портам, или протоколам, или адресам, или по всему этому в различных комбинациях. Есть еще кнопка Expression (по центру сверху) - это типа конструктора фильтра. Например, если задать фильтр
"tcp.port == 5190 || udp.port == 5190" то можно увидеть логи аськи.


16 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.